Sophos X-Ops выявила серьезную утечку, связанную с программой-вымогателем Qilin, в ходе которой был использован новый и тревожный метод массового хищения паролей, сохраненных в браузерах Google Chrome на зараженных устройствах.
Группа Qilin действует с 2022 года и известна своей стратегией «двойного вымогательства». Этот метод включает в себя кражу данных жертвы, шифрование их систем и угрозы раскрыть или продать украденные данные, если выкуп не будет выплачен.
Этот метод кражи учетных данных представляет серьезные риски, выходящие за рамки непосредственных жертв, подчеркивая эволюцию атак программ-вымогателей.
Начальный доступ и боковое перемещение
В июне 2024 года Qilin атаковал Synnovis, британского правительственного поставщика медицинских услуг. Эта кибератака оказалась в центре внимания общественности. Взлом начался с того, что злоумышленники получили доступ через скомпрометированные учетные данные для VPN-портала, который не использовал многофакторную аутентификацию (MFA).
После 18 дней наблюдения злоумышленники переместились внутри сети на контроллер домена. Здесь они изменили объекты групповых политик (GPO), чтобы внедрить скрипт PowerShell под названием IPScanner.ps1, предназначенный для кражи учетных данных, хранящихся в браузерах Chrome.
Этот скрипт выполнялся каждый раз, когда пользователь входил в свою учетную запись, что позволяло злоумышленникам собирать учетные данные с нескольких устройств, подключенных к сети. Собранные данные хранились в общей папке SYSVOL, названной по имени зараженного устройства, и затем передавались на сервер управления и контроля злоумышленников. После этого кражи данных злоумышленники удалили локальные копии и очистили журналы событий, чтобы скрыть свои следы перед развертыванием программ-вымогателей.
Программа-вымогатель Qilin нацелена на браузеры Google Chrome, которые занимают более 65% рынка браузеров. Это позволяет злоумышленникам получить доступ к огромному количеству имен пользователей и паролей, сохраненных пользователями.
Организациям, пострадавшим от этой атаки, следует сбросить все пароли в Active Directory и порекомендовать пользователям изменить пароли для всех сайтов, сохраненных в их браузерах. Масштаб взлома означает, что одна скомпрометированная учетная запись может привести к десяткам или даже сотням дополнительных взломов на различных сервисах, значительно усложняя усилия по реагированию на инцидент.
Исследователи Sophos заметили, что новый подход может быть дополнительным фактором увеличения хаоса, который уже присущ ситуациям с программами-вымогателями. Кража учетных данных позволяет группам, таким как Qilin, получить представление о ключевых целях, что способствует осуществлению более изощренных и разрушительных атак в будущем. Эта тенденция вызывает серьёзные опасения по поводу безопасности организаций, которые могут быть недостаточно подготовлены к защите от таких многослойных угроз.
Источник: TechRadar
